Einleitung: KI im Unternehmen rechtssicher einsetzen
Der KI-Einsatz im Unternehmen ist längst kein Zukunftsthema mehr, sondern Alltag in vielen Betrieben. Doch mit der wachsenden Verbreitung von Künstlicher Intelligenz (KI) steigen auch die rechtlichen Anforderungen. Seit dem Inkrafttreten des EU AI Act (Verordnung (EU) 2024/1689) gelten für Unternehmen in Deutschland und Europa neue, verbindliche Pflichten. Gleichzeitig fordert die Datenschutz-Grundverordnung (DSGVO) die Einhaltung strikter Datenschutzregeln, und das Arbeitsrecht stellt eigene Anforderungen an den Einsatz von KI-Systemen am Arbeitsplatz. Wer jetzt nicht handelt, riskiert empfindliche Bußgelder und rechtliche Auseinandersetzungen. Dieser Artikel erklärt, was Unternehmen, KMU (kleine und mittlere Unternehmen) und Selbstständige konkret wissen und tun müssen.
Rechtlicher Hintergrund: AI Act, DSGVO und Arbeitsrecht im Überblick
Die rechtlichen Rahmenbedingungen für KI im Unternehmen werden durch drei große Regelwerke geprägt: den EU AI Act, die DSGVO sowie das deutsche Arbeitsrecht inklusive Betriebsverfassungsgesetz (BetrVG).
Der EU AI Act: Risikobasierter Ansatz mit konkreten Fristen
Der AI Act trat am 1. August 2024 in Kraft und gilt in allen EU-Mitgliedstaaten unmittelbar, also ohne weitere nationale Umsetzung. Er unterscheidet KI-Systeme nach ihrem Risikopotenzial in vier Kategorien:
Unsicher bei einer Rechtsfrage? Holen Sie sich jetzt eine schnelle Einschätzung – ab 29,99 €.
- Inakzeptables Risiko: Vollständig verboten, zum Beispiel Social Scoring durch Behörden oder KI zur unbewussten Beeinflussung von Menschen.
- Hohes Risiko: Strenge Anforderungen, unter anderem für KI in der Personalauswahl, im Bildungsbereich oder im Gesundheitswesen.
- Begrenztes Risiko: Transparenzpflichten, etwa bei Chatbots.
- Minimales Risiko: Kaum Einschränkungen, zum Beispiel bei KI-gestützten Empfehlungssystemen.
Die wichtigsten Fristen für Unternehmen:
- Ab Februar 2025: Verbote für KI-Systeme mit inakzeptablem Risiko gelten.
- Ab August 2025: Pflichten für Anbieter allgemeiner KI-Modelle (sogenannte GPAI-Modelle) gelten.
- Ab August 2026: Vollständige Anwendung aller Hochrisiko-Anforderungen.
Für Unternehmen, die KI-Systeme im Personalbereich, in der Kreditvergabe oder im Kundenmanagement einsetzen, ist die Klassifikation als Hochrisiko-System besonders relevant. Sie müssen unter anderem eine technische Dokumentation erstellen, menschliche Aufsicht sicherstellen und ihre Systeme registrieren.
DSGVO und KI: Datenschutz als Daueraufgabe
Die DSGVO gilt bereits seit 2018 und bleibt neben dem AI Act vollständig anwendbar. Wer KI-Systeme einsetzt, die personenbezogene Daten verarbeiten, muss folgende Punkte sicherstellen:
- Rechtsgrundlage für die Datenverarbeitung (Artikel 6 DSGVO)
- Informationspflichten gegenüber betroffenen Personen (Artikel 13 und 14 DSGVO)
- Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko (Artikel 35 DSGVO)
- Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)
- Regelungen zur Auftragsverarbeitung, wenn externe KI-Anbieter eingesetzt werden (Artikel 28 DSGVO)
Besondere Vorsicht ist geboten, wenn KI-Systeme automatisierte Entscheidungen treffen, die rechtliche Wirkung für Personen entfalten. Artikel 22 DSGVO schränkt solche vollautomatisierten Entscheidungen grundsätzlich ein und gewährt Betroffenen ein Widerspruchsrecht.
Arbeitsrecht und KI: Mitbestimmung und Transparenz
Im Beschäftigungsverhältnis gelten besondere Regeln. Das Betriebsverfassungsgesetz (BetrVG) gibt dem Betriebsrat weitreichende Mitbestimmungsrechte, wenn im Unternehmen technische Einrichtungen eingeführt werden, die das Verhalten oder die Leistung von Arbeitnehmern überwachen können. Dies gilt laut § 87 Abs. 1 Nr. 6 BetrVG ausdrücklich auch für KI-gestützte Systeme.
Darüber hinaus müssen Beschäftigte nach § 81 Abs. 4 BetrVG über den Einsatz von KI-Systemen informiert werden, soweit diese ihren Arbeitsplatz oder ihre Tätigkeit betreffen. Der Europäische Gerichtshof für Menschenrechte (EGMR) sowie nationale Gerichte haben in den vergangenen Jahren den Schutz der Persönlichkeitsrechte von Arbeitnehmern im digitalen Kontext gestärkt.
Aktuelle Entwicklung: Pflichten und Fristen 2025 und 2026
Im Jahr 2025 befinden sich viele Unternehmen in einer entscheidenden Übergangsphase. Der AI Act entfaltet schrittweise seine volle Wirkung, und gleichzeitig verschärfen die europäischen Datenschutzbehörden ihre Kontrolle. In Deutschland hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) angekündigt, den Einsatz von KI-Systemen in Unternehmen stärker zu prüfen. Auch die Datenschutzkonferenz (DSK), das Gremium der deutschen Datenschutzbehörden, hat Leitlinien zum Einsatz von KI-Sprachmodellen wie ChatGPT veröffentlicht.
Unternehmen, die sogenannte Hochrisiko-KI-Systeme einsetzen oder entwickeln, müssen spätestens bis August 2026 alle Anforderungen des AI Act erfüllen. Dazu gehören insbesondere:
- Erstellung und Pflege technischer Dokumentation
- Durchführung von Konformitätsbewertungen
- Registrierung im europäischen KI-Datenbank-Register der EU
- Sicherstellung menschlicher Aufsicht über KI-Entscheidungen
- Maßnahmen zur Cybersicherheit und Robustheit der KI-Systeme
Praktische Tipps: So handeln Unternehmen jetzt richtig
Folgende Schritte helfen Unternehmen, KI-Systeme rechtssicher einzusetzen:
- KI-Systeme inventarisieren: Erfassen Sie alle im Unternehmen eingesetzten KI-Tools, auch solche, die über externe Dienstleister genutzt werden.
- Risikoklassifikation vornehmen: Prüfen Sie, ob Ihre KI-Systeme nach dem AI Act als hohes Risiko einzustufen sind. Besonders relevant sind HR-Tools, Scoring-Systeme und Kundenanalysen.
- Datenschutz prüfen: Überprüfen Sie, ob für jeden KI-Einsatz eine Rechtsgrundlage nach der DSGVO vorliegt. Schließen Sie Auftragsverarbeitungsverträge (AVV) mit KI-Anbietern ab.
- Betriebsrat einbinden: Informieren und beteiligen Sie den Betriebsrat frühzeitig, bevor KI-Systeme eingeführt werden. Ohne Zustimmung des Betriebsrats darf kein Überwachungssystem eingeführt werden.
- Interne Richtlinien erstellen: Entwickeln Sie eine KI-Richtlinie für Ihr Unternehmen, die Nutzungsregeln, Verantwortlichkeiten und Datenschutzanforderungen festlegt.
- Mitarbeiter schulen: Sensibilisieren Sie Ihre Beschäftigten für den verantwortungsvollen Umgang mit KI-Tools, insbesondere im Hinblick auf Datenschutz und Persönlichkeitsrechte.
- Dokumentation aufbauen: Halten Sie fest, welche KI-Systeme zu welchem Zweck eingesetzt werden, welche Daten verarbeitet werden und wer verantwortlich ist.
- Externe Beratung nutzen: Bei komplexen Fragestellungen, insbesondere bei Hochrisiko-KI, empfiehlt sich anwaltliche Beratung durch Spezialisten für IT-Recht, Datenschutzrecht und Arbeitsrecht.
Was bedeutet das für Sie?
Für Unternehmen, KMU und Selbstständige bedeuten der AI Act und die DSGVO konkrete Handlungspflichten. Wer KI-Systeme unreflektiert einsetzt, ohne die rechtlichen Rahmenbedingungen zu beachten, kann mit erheblichen Sanktionen konfrontiert werden. Der AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ist. Die DSGVO ermöglicht Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes. Hinzu kommen mögliche Schadensersatzansprüche von betroffenen Personen sowie arbeitsrechtliche Konsequenzen bei Verstößen gegen das BetrVG.
Besonders für kleinere Unternehmen ohne eigene Rechts- oder Datenschutzbewältigung lohnt es sich, frühzeitig externe Unterstützung einzuholen. Die Kosten einer anwaltlichen Beratung sind im Vergleich zu einem möglichen Bußgeldverfahren in der Regel überschaubar. Auch die Zusammenarbeit mit einem betrieblichen oder externen Datenschutzbeauftragten (DSB) ist empfehlenswert.
Darüber hinaus gilt: KI-Systeme entwickeln sich schnell. Was heute als unbedenkliches Tool gilt, kann morgen bereits unter die Hochrisiko-Kategorie fallen, wenn der Einsatzzweck sich ändert oder neue Funktionen hinzukommen. Unternehmen sollten deshalb eine regelmäßige Überprüfung ihrer KI-Nutzung einplanen, mindestens einmal jährlich.
Tabelle: Übersicht der wichtigsten Pflichten beim KI-Einsatz
| Rechtsgrundlage | Pflicht | Frist / Geltung | Sanktion bei Verstoß |
|---|---|---|---|
| AI Act (hohes Risiko) | Technische Dokumentation, Konformitätsbewertung, Registrierung | Ab August 2026 | Bis zu 30 Mio. Euro oder 6 % Umsatz |
| AI Act (verbotene KI) | Sofortiges Verbot bestimmter Systeme | Seit Februar 2025 | Bis zu 35 Mio. Euro oder 7 % Umsatz |
| DSGVO Art. 6, 13, 14, 30, 35 | Rechtsgrundlage, Informationspflichten, DSFA, AVV | Bereits gültig seit 2018 | Bis zu 20 Mio. Euro oder 4 % Umsatz |
| BetrVG § 87 Abs. 1 Nr. 6 | Mitbestimmung des Betriebsrats bei KI-Überwachungstools | Bereits gültig | Anfechtung von Maßnahmen, Unterlassungsansprüche |
| BetrVG § 81 Abs. 4 | Informationspflicht gegenüber Arbeitnehmern | Bereits gültig | Mitbestimmungsrechtliche Konsequenzen |
| DSGVO Art. 22 | Verbot vollautomatisierter Entscheidungen ohne menschliche Kontrolle | Bereits gültig seit 2018 | Schadensersatz, Bußgeld |
Fazit: Jetzt handeln und KI-Einsatz rechtssicher gestalten
Der rechtliche Rahmen für den Einsatz von KI im Unternehmen wird immer dichter. AI Act, DSGVO und Arbeitsrecht greifen ineinander und verlangen von Unternehmen jeder Größe ein strukturiertes Vorgehen. Die gute Nachricht: Wer sich frühzeitig mit den Anforderungen auseinandersetzt, eine KI-Richtlinie entwickelt, seinen Betriebsrat einbezieht und die datenschutzrechtlichen Grundlagen schafft, ist gut aufgestellt. Die Zeit bis August 2026 mag lang erscheinen, doch die notwendigen Schritte brauchen Zeit und sollten systematisch angegangen werden. Ignoranz ist keine Option, denn die Behörden und Gerichte nehmen KI-Verstöße zunehmend ernst.
Hinweis und Haftungsausschluss
Dieser Artikel dient ausschließlich der allgemeinen rechtlichen Information und ersetzt keine individuelle anwaltliche Beratung. Die Rechtslage kann sich ändern. Für konkrete Fragen zu Ihrem Unternehmen wenden Sie sich bitte an einen qualifizierten Rechtsanwalt.
- Rechtsanwalt finden: Zur Anwaltssuche auf rechtsanwalt.com
- KI-Rechtsberatung: LexBot auf rechtsanwalt.com
- Telefonische Rechtsberatung auf rechtsanwalt.com
Dieser Artikel und das verwendete Symbolbild wurden mit Hilfe von KI erstellt.
Quellen und weiterführende Links
- anwalt.de: KI im Unternehmen rechtssicher nutzen, AI Act, DSGVO und Arbeitsrecht 2026
- Verordnung (EU) 2024/1689, EU AI Act, Volltext auf EUR-Lex
- Bundesdatenschutzgesetz (BDSG) auf gesetze-im-internet.de
- § 87 BetrVG (Betriebsverfassungsgesetz) auf gesetze-im-internet.de
- § 81 BetrVG auf gesetze-im-internet.de
- Art. 6 DSGVO (Rechtsgrundlagen) auf gesetze-im-internet.de
- Art. 22 DSGVO (Automatisierte Entscheidungen) auf gesetze-im-internet.de
- Art. 35 DSGVO (Datenschutz-Folgenabschätzung) auf gesetze-im-internet.de
- Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI)
Sollte Ihnen dieser Beitrag geholfen haben, so können Sie uns etwas zurückgeben in dem Sie uns bei Google bewerten.